Betrodd beräkningsbas
TCB (Trusted Computing Base) refererar till alla systemkomponenter för maskinvara, inbyggd programvara och programvara som ger en säker miljö. Komponenterna i TCB anses vara "kritiska". Om en komponent i TCB komprometteras kan hela systemets säkerhet äventyras. En lägre TCB innebär högre säkerhet. Det finns mindre risk för exponering för olika sårbarheter, skadlig kod, attacker och skadliga personer.
Följande diagram visar vad som är "i" och vad som är "utanför" för den betrodda beräkningsbasen. Den arbetsbelastning och de data som kundoperatören hanterar finns i TCB och de element som hanteras av molnleverantören (Microsoft Azure) finns utanför.
Maskinvarurot för förtroende
Roten till förtroende är den maskinvara som är betrodd att intyga (verifiera) att kundens arbetsbelastning använder konfidentiell databehandling genom generering av kryptografiska bevis.
CC-arbetsbelastning (TCB)
Kundens arbetsbelastning, inkapslad i en betrodd körningsmiljö (TEE) innehåller de delar av lösningen som är helt under kontroll och betrodda av kunden. Arbetsbelastningen för konfidentiell databehandling är ogenomskinlig för allt utanför TCB med kryptering.
Värdoperativsystem, Hypervisor, BIOS, Enhetsdrivrutiner
Dessa element har ingen synlighet för arbetsbelastningen i TCB eftersom den krypterades. Värdoperativsystem, BIOS osv. kontrolleras av molnleverantören och är inte tillgängliga för kunden.
Mappa TCB till olika betrodda körningsmiljöer (TEE)
Beroende på den teknik för konfidentiell databehandling som används kan TCB variera för att tillgodose olika kundkrav för konfidentialitet och enkel implementering.
Intel SGX erbjuder till exempel den mest detaljerade TCB-definitionen till enskilda kodfunktioner, men kräver att program skrivs med specifika API:er för att använda konfidentiella funktioner.
Konfidentiella virtuella datorer (CVM) med hjälp av AMD SEV-SNP-teknikerna (och i framtiden Intel TDX) kan köra en hel virtuell dator i TEE för att stödja lift & shift-scenarier för befintliga arbetsbelastningar, i det här fallet är gästoperativsystemet också inuti TCB.